IT-SÄKERHET
- en fråga för ledningen
Examensarbete i informatik Magisteruppsats 20 poäng VT 1998
Handledare: Kjell Engberg Författare: Wictoria Sahlén
Abstrakt
Avsikten med denna uppsats var att belysa de faktorer som har betydelse för god IT-säkerhet i ett svenskt företag ur ett företagsledarperspektiv.
I uppsatsen utreds de hot som finns mot företags IT-system, samt vilka skyddslager/lösningar som bör nyttjas för att skydda mot dessa hot. För att nå god IT-säkerhet krävs det av ledningen att den sätter sig in i problematiken gällande hoten som ett företags IT kan ställas inför.
Rapporten leder fram till vilket ansvar och skyldighet som åligger ledningen, samt vilka hot och skydd/lösningar som är aktuella för svenska företag. Nyckelaktiviteter i säkerhetsarbetet är att motivera, informera, utbilda, i viss mån kontrollera, agera och förebygga både tekniskt och på det mänskliga planet. De mjuka faktorerna är nödvändiga att ta hänsyn till i säkerhetsprocessen för att erhålla säker IT.
För att uppnå säker IT krävs det av företagsledningen att den inser att säkerheten behövs, att det kostar, samt att personalen måste vara med i arbetet. De attacker som företagets information kan utsättas för finns det en mängd olika åtgärder/redskap för att förhindra, men utan medarbetarnas medverkan i säkerhetsprocessen är det inte möjligt att uppnå säker IT.
Nyckelord: Informationsteknik, IT-säkerhet, företagsledning, hotbild, skydd
Innehållsförteckning
1. INLEDNING ... 5
1.1 BAKGRUND... 5
1.2 PROBLEMDISKUSSION... 6
1.3 SYFTE, MÅLGRUPP OCH AVGRÄNSNING... 7
1.4 DISPOSITION AV ARBETET... 8
1.5 DEFINITIONER... 8
2. METOD ... 10
2.1 VAL AV ANSATSER... 10
2.1.1 Positivistisk och hermeneutisk vetenskapsuppfattning... 10
2.1.2 Kvalitativa och kvantitativa metoder ... 10
2.1.3 Induktiv och deduktiv forskningsansats ... 11
2.2 METODER I UNDERSÖKNINGSPROCESSEN... 11
2.2.1 Datainsamlingsmetoder ... 11
2.2.2 Teoretiska perspektiv ... 11
2.2.3 Datasammanfattningsmetoder ... 12
2.2.4 Urvalsmetoder ... 13
2.3 GENOMFÖRANDE... 13
3. FÖRETAGSLEDNINGENS ANSVAR I IT-SÄKERHETSPROCESSEN ... 14
3.1 STRATEGIER OCH REGELVERK... 14
3.1.1 Strategisk styrning av företag ... 14
3.1.2 Beslutsprocessen... 14
3.1.3 Delaktighet i besluten ... 15
3.1.4 Ledarens personlighet ... 15
3.1.5 IT-säkerhetssystemet ... 16
3.1.6 IT-strategi och IT-policy... 16
3.1.7 Säkerhetsmanualen ... 16
3.1.8 Nackdelar med pappersbaserade säkerhetsmanualer ... 17
3.1.9 Faran med alltför strikta regler... 17
3.1.10 Lagar och regler ... 18
3.1.11 Internationella skillnader i säkerhetsarbetet ... 18
3.1.12 Kvalitet på säkerheten ... 18
3.2 EKONOMISKA ASPEKTER PÅ SÄKERHETEN... 19
3.2.1 Bristande rutiner... 20
3.2.2 Kostnader för IT ... 20
3.2.3 Relationen till kunden ... 20
3.2.4 Risk- och sårbarhetsanalys... 21
3.2.5 Bedömning av riskerna ... 21
3.2.6 Modeller som hjälpmedel i säkerhetsarbetet ... 22
3.2.7 Brister i säkerheten ... 22
3.2.8 Försäkringsvillkor ... 23
4. IT-SÄKERHET... 24
4.1 HOT MOT DEN INTERNA SÄKERHETEN... 24
4.1.1 Intern säkerhet ... 24
4.1.2 Faror eller risker för företagets information ... 24
4.1.3 Lönsamt att attackera IT-system... 24
4.1.4 Etiska attityder... 25
4.1.5 Insiderbrott ... 25
4.1.6 Personal och ansvarstagande... 25
4.2 AVSIKTLIGA ATTACKER MOT FÖRETAGS IT-SYSTEM... 26
4.2.1 Kapningsattacker... 27
4.2.2 Olika sätt att attackera ett skiffersystem ... 27
4.2.3 Spoofning och scanning efter portar ... 28
4.2.4 Internet... 28
4.2.5 ”The Internet Worm”... 29
4.2.6 Hackers ... 30
4.2.7 Industrispionage med hjälp av datorer... 31
4.2.8 Virus... 31
4.2.9 Makrovirus... 31
4.2.10 Lösenordsattacker... 32
4.2.11 Informationsserviceattacker ... 33
4.2.12 Denial of Service attacker... 33
4.2.13 IP attacker ... 33
4.2.14 Cookies ... 34
4.2.15 Dödspinget... 34
4.2.16 Anonym inloggning... 34
4.3 OAVSIKTLIGT ORSAKADE INCIDENTER... 35
4.3.1 Hemlighålla information ... 35
4.3.2 Vanligaste orsaken till utebliven produktivitet ... 35
4.3.3 Svenska företags beredskap ... 35
4.3.4 Avbrott ... 35
4.3.5 Installeringsproblem... 36
4.3.6 Milleniumbomben ... 36
4.3.7 Förlust av filer ... 36
4.3.8 Kompatibilitetsproblem ... 37
4.3.9 Minskad kontroll över systemen... 37
5. SKYDD OCH LÖSNINGAR PÅ IT-SÄKERHETSPROBLEM ... 38
5.1 ÖVERGRIPANDE ÅTGÄRDER FÖR INTERN SÄKERHET... 38
5.1.1 Begränsning av tillgängligheten... 38
5.1.2 Ansvar för informationstillgångarna ... 38
5.1.3 Säkerhetsmatriser och zonindelning ... 38
5.1.4 Elementen i ett säkert operativsystem... 40
5.1.5 Fyra grundläggande osäkerhetstyper ... 40
5.1.6 Skyddslagren kring informationstillgångarna ... 41
5.2 FAKTORER FÖR DEN FYSISKA SÄKERHETEN... 42
5.2.1 Säkra byggnader... 42
5.2.2 Brand ... 43
5.2.3 Placering av datorcentralen ... 43
5.2.4 Avlyssning ... 43
5.2.5 Intrång ... 43
5.2.6 Godtagbart inbrottsskydd ... 44
5.3 ACCESSKONTROLL... 44
5.3.1 Fysisk accesskontroll ... 45
5.3.2 Kommunikationsaccesskontroll ... 45
5.3.2.1 Säkerhetslösningar för Internet...45
5.3.2.2 Hemsidor ...45
5.3.2.3 Motringning...45
5.3.2.4 Brandväggar ...46
5.3.3 Logisk kontroll ... 47
5.3.3.1 Accessrestriktioner ...47
5.3.3.2 Verifiera identitet ...48
5.3.3.3 Lösenord...48
5.3.3.4 Lösenordspolicy ...49
5.3.3.5 Kryptering ...49
5.3.3.6 Smarta kort ...50
5.3.4 Falsk attack... 50
5.4 ADMINISTRATIVA KONTROLLER OCH PROCEDURER... 51
5.4.1 Informationsflödeskontroll... 51
5.4.2 Övervakning... 51
5.4.2.1 Fysisk övervakning...51
5.4.2.2 Logisk övervakning ...51
5.4.3 Loggning... 52
5.4.4 Dokument i pärmar... 52
5.4.5 Säkerhetskontroll av personal ... 52
5.5 BEREDSKAPSÅTGÄRDER... 53
5.5.1 Backup ... 53
5.5.2 Virusskydd ... 53
5.5.2.1 Skydd mot makrovirus...53
6. DE MÄNSKLIGA FAKTORERNAS ROLL I IT-SÄKERHETEN... 55
6.1 MJUKA FAKTORER AV VIKT I IT-SÄKERHETSPROCESSEN... 55
6.1.1 Brister i säkerheten beror på organisatoriska problem... 55
6.1.2 Positiv attityd till säkerheten ... 55
6.1.3 Betydelsen av information ... 55
6.1.4 Motivation och kunskap... 56
6.1.5 Vanligaste orsakerna till förlust av information... 56
6.1.6 Personalen ... 57
6.1.7 Revirtänkande ... 57
6.1.8 Två svenska företags lösning på den interna säkerheten... 57
6.2 FÖRETAGSKULTURENS BETYDELSE FÖR SÄKERHETEN... 58
6.2.1 Kultur... 58
6.2.2 Kommunikation och interpersonella relationer... 59
6.2.3 Ledarskap ... 59
6.2.4 Medarbetarnas attityder och motivation ... 60
6.2.5 Företags informella struktur... 61
6.2.6 Kulturell gemenskap ... 61
6.2.7 Företagets kultur ... 62
6.2.8 Företagskultur som styrmedel... 62
7. SLUTDISKUSSION ... 64
7.1 INTERN IT-SÄKERHET... 64
7.1.1 Ledningens uppgift i IT-säkerhetssprocessen ... 64
7.1.2 Analys av hotbilden ... 65
7.1.3 Ekonomiska aspekter ... 68
7.1.4 Säkerhetssystemets konstruktion ... 69
7.1.4.1 Fysisk säkerhet ...69
7.1.4.2 Accesskontroller ...70
7.1.4.3 Administrativa kontroller och procedurer ...71
7.1.4.4 Företagets beredskap ...71
7.1.5 Den mänskliga faktorn i säkerhetssystemet ... 72
7.1.5.1 Motivation och kunskap ...73
7.1.6 I korta drag ... 74
7.2 ERFARENHET AV METOD... 74
7.3 EGNA REFLEKTIONER... 74
7.3.1 Fortsatt forskning ... 75
LITTERATURFÖRTECKNING ... 76
PERIODIKA... 77
INTERNET... 78
ÖVRIGA KÄLLOR... 78
1. Inledning
1.1 Bakgrund
Dagens samhälle kommer med stor sannolikhet att betecknas informationssamhället i framtida historieböcker. Det finns redan idag de som, liksom framtidsforskaren Tomas Lönn (1996), benämner samtiden för informations- eller kunskapssamhället, eftersom produktionen av kunskap och beroendet av tillgång till information har en huvudroll, samtidigt som integrerade system för datorer och teleteknik blivit allt viktigare.
Företagsklimatet idag är mycket resultatinriktat och verksamheter effektiviseras för att möta de allt strängare kraven från konkurrenter och kunder. Företagen är ofta mycket beroende av snabb tillgänglighet och hög integritet av sin information. Många tidigare manuella rutiner sköts numera av datorer och kräver inte längre mänskliga kontroller eller avvägningar.
Avsaknaden av mänskligt omdöme kan vara en säkerhetsrisk, särskilt om effektiviseringen av verksamheten resulterat i att tids- och kostnadsfaktorer pressats och säkerhetskontrollerna i systemen dragits ned. Oftast är det inte förrän efter en incident som säkerhetsaspekten blir aktuell.
Informationssystemen har blivit en essentiell del av många verksamheter. Då ett företag blivit beroende av att dess informationstekniska (informationsteknik kommer i fortsättningen förkortas till IT) system fungerar för att verksamheten skall flyta, ökar systemets värde för företaget. Ju mer beroende verksamheten är av IT-systemet, desto större konsekvenser medför en attack eller annan typ av avbrott.
Svenska företag har till stor del varit förskonade från organiserad IT-brottslighet, i alla fall som kommit allmänheten tillkänna. I en undersökning gjord av Riksrevisionsverket framkom att endast en tredjedel av alla IT-brott anmäls (Sundén, 1997). Anledningar som uppgavs var att företaget inte trodde att polisen skulle klara upp brottet och att en anmälan medför ”bad will” för företaget. I och med att brotten inte anmäls utan tystas ned i stället, når de heller inte media. Eftersom få konkreta exempel på IT-brottsligheten når allmänheten, uppfattas det inte som något större problem för företagen och därmed inte heller getts någon prioritet. Den ökande kommunikationen över Internet, som är känt som ett osäkert media, har dock satt säkerhetsaspekterna i fokus och därmed ökat även medvetandegraden över hoten (Wedberg, artikel 2, 1997). Utnyttjandet av world wide web och Internet samt den ökande elektroniska handeln, gör att risken ökar för att externa individer skall lyckas få tillgång till information de inte har rätt till på grund av den ökade exponeringen av den information som hanteras
(Kommunikationsdepartementet, 1997). Därmed har också behovet av att skydda sin information från obehöriga ökat.
Skyddet av såväl informationen som den utrustningen som krävs för att överföra och använda informationen innefattas under begreppet IT-säkerhet. Den kontinuerliga utvecklingen på IT- området gör att även förutsättningarna för IT-säkerheten ständigt förändras och därmed bör även skyddsmekanismerna utvecklas för att det inte skall uppstå brister.
I och med att företagen blir allt mer beroende av information, ökar även vikten av
informationstillgångarna och behovet av att skydda dem. Vissa företag hanterar numera sina överföringar av likvida medel elektronisk, vilket gör det absolut nödvändigt för sändarna och mottagarna att säkerheten för transaktionerna är säkrad.
Det är inte enbart den tekniska utvecklingen som är viktig i säkerhetsarbetet, de mjuka faktorerna såsom relationen mellan arbetsgivare och personalen som hanterar informationen får en alltmer framträdande roll. Till de mjuka faktorerna hör också företagets image eller rykte utåt, faktorer som är beroende av att företaget kan hantera sin information. Om företaget blir bestulet på information eller om ett svårare datoravbrott medför förseningar i t ex
produktionen, kan det medföra att omvärlden förlorar förtroendet för företaget. Bristen på förtroende kan resultera i att kunder och leverantörer söker sig till ett annat företag där verksamheten är säkrad. Därför är det troligt att många organisationer inte anmäler
informationstekniskt relaterade brott eftersom företagen är rädda för negativ publicitet och förlust av förtroende hos aktieägare, kunder m. fl.
1.2 Problemdiskussion
I dagsläget satsar svenska företag stora resurser på olika tekniska IT-säkerhetsmekanismer. De tekniska delarna av säkerheten är viktiga, men även den mänskliga faktorn bör vara av
betydelse för den totala IT-säkerheten. Kan det kanske till och med vara så att den mänskliga faktorn är avgörande för företags IT-säkerhet?
IT-säkerhet är ett intressant och komplext fenomen som lockar till fördjupning. Ämnet är relativt nytt i jämförelse med andra organisatoriska delar av ett företag, vilket gör att många företagsledare inte är fullt insatta i problematiken (Lönn, 1996). Det är få svenska företag som har kommit så långt att de implementerat policys eller har beredskap för avbrott (Cardholm, 1997).
IT-systemen är olika i alla företag och därmed har de också olika behov av säkerhet.
Svårigheter kring att bestämma vilken grad av IT-säkerhet företaget kräver beror på en mängd olika faktorer, såsom om det är frågan om ett stort eller litet företag, hur många anställda företaget har, vilken typ av verksamhet som bedrivs, eventuella internationella anknytningar osv.
Företag präglas av människorna som arbetar i företaget, och eftersom alla människor är olika är det också rimligt att anta att det finns en unik kultur på varje arbetsplats som behöver tas hänsyn till i säkerhetsarbetet. Vidare har varje företag har en unik ledarsammansättning, en egen historik som resulterat i erfarenheter som gäller just det speciella företaget, unika ekonomiska förutsättningar och personalkonstellation. Företagets lokalisering,
utrymmesmässiga förutsättningar, det informella och formella kontaktnätet är andra faktorer som rimligtvis borde påverka IT-säkerhetssystemets utformning.
Ett grundläggande motiv till uppsatsen är att, eftersom säkerheten är eftersatt på så många svenska företag, studera vad svenska företagsledare kan göra för att erhålla säkra IT-system, samt vilken betydelse de mjuka faktorerna såsom medarbetarnas motivation, inställning och kunskap har för slutresultatet.
För att som företagsledare kunna fatta resonabla beslut i frågor rörande företagets IT-säkerhet är det rimligt att anta att denne bör vara på det klara med vilka hot som existerar mot
verksamhetens IT-system. Likaså bör den ansvarskännande personen alternativt personerna i ledarställning vara initierade i formalia gällande IT-säkerhet, samt ha en preciserad strategi och policy för säkerhetsarbetet. Förutom tekniska lösningar på säkerhetsproblematiken bör med stor sannolikhet även en översyn av de mjuka faktorerna göras för att ha möjlighet att skydda IT-systemet.
Tidigare forskning i ämnet är till stor del koncentrerad kring tekniska lösningar. I min litteratursökning fann jag främst böcker om brandväggar och hur man kan skydda sig mot hoten från Internet (”Internet Security Secrets” av Vacca, ”Internet Firewalls & Network Security” av Siyan och Hare, ”Firewalls and Internet Security” av Cheswick och Bellowin,
”Web Security Sourcebook” av Rubin m fl, ”Web Security & Commerce” av Garfinkel och Spafford, osv.), men få som berörde IT-säkerheten ur ett mer holistiskt perspektiv. De mesta som finns att läsa om IT-säkerhet är anpassat efter amerikanska förhållanden och de flesta svenska böcker i ämnet är tyvärr flera år gamla. Den aktuella informationen fann jag främst i tidningsartiklar.
1.3 Syfte, målgrupp och avgränsning
Syftet med denna uppsats är att, ur en företagsledares perspektiv, belysa de faktorer som har betydelse för god IT-säkerhet i ett svenskt företag. För att åstadkomma detta måste först och främst företagsledningens ansvar och de ekonomiska aspekterna i processen klarläggas.
Därefter skall anledningen till behovet av IT-säkerhet utredas, d.v.s. vilka de vanligaste hoten som förekommer mot IT-system är. När hotbilden framträtt ställs frågan hur IT-system skall kunna skyddas mot dessa hot, m.a.o. vilka skydd och lösningar som finns att tillgå. Då ansvaret, hotbilden och säkerhetslösningarna blottlagts bör även en närmare granskning av företagens kärna - människorna i organisationen, göras för att få fram en bild av hur god IT- säkerhet i ett svenskt företag kan se ut.
Uppsatsen riktar sig till svenska företagsledare och andra intresserade av säkerhetsfrågor ur ett företagsledarperspektiv. Av denna anledning kommer jag att koncentrera rapporten till det holistiska säkerhetsperspektivet och inte gå in närmare på de tekniska säkerhetslösningar som finns på marknaden idag.
1.4 Disposition av arbetet
Kapitel 1 Inledningen innehåller en bakgrund till uppsatsen, problemställning, syfte och avgränsningar.
Kapitel 2 Metodkapitlet består av de metoder som användes i förberedelserna inför studien och metoder vid genomförandet av undersökningen.
Kapitel 3 Här diskuteras företagsledningens roll och ansvar i IT-säkerhetsprocessen, samt de ekonomiska aspekterna på säkerheten.
Kapitel 4 I detta kapitel behandlas hoten mot den interna säkerheten i svenska företag såväl avsiktliga som oavsiktliga.
Kapitel 5 Detta kapitel behandlar de åtgärder ett företag kan vidta för att skydda sina informationstillgångar på det mer tekniska planet.
Kapitel 6 Diskussionen i detta kapitel kretsar kring medarbetarnas betydelse samt gynnsamma företagskulturella förhållanden för säker IT.
Kapitel 7 Först i slutdiskussionen tolkar jag den insamlade informationen och drar slutsatser av undersökningen.
1.5 Definitioner
Vissa begrepp som använd frekvent i studien förklaras här. Förklaringarna är hämtade ur Bonniers lexikon, om annat inte står angivet.
access möjlighet till åtkomst
datasäkerhet vetenskapen och studien av metoder för att skydda data i ett dator- och kommunikationssystem från icke auktoriserat avslöjande, överföring, försening, modifiering eller förstörelse antingen den är avsiktlig eller inte. (Caelli, Longley och Shain, 1989)
datorsäkerhet att skydda datorer från oavsiktlig såväl som avsiktlig åverkan samt stöld
informationsteknologi IT, all teknik för att samla in, lagra, bearbeta, återfinna, kommunicera och presentera text, bild och tal. Oftast avses
tekniker som förutsätter digital databehandling samt sådan lagring och överföring.
IT-säkerhet IT-säkerhet innebär både skydd av information och den utrustning som krävs för att överföra och använda informationen.
Internet internationellt nätverk av datanät som bygger på ett gemensamt överföringsprotokoll och datapaketförmedling över telenäten e-post elektronisk post, är den nättjänst som har störst räckvidd.
Internetadressen är uppbyggd ungefär som en vanlig adress med namn, underdomän och toppdomän. (anna.andersson@skolan.se) säkerhet tillstånd som inte innebär fara, kan även betyda visshet. (Norstedt,
1990)
world wide web www. Det allmänna internationella nätverket av websidor som finns på Internet.
2. Metod
2.1 Val av ansatser
Det finns ett antal olika sätt att närma sig ett vetenskapligt problem, och beroende på karaktären hos det som skall undersökas används olika typer av metoder för att undersöka fenomenet. Oftast bestämmer sig forskaren redan i ett tidigt skede för vilken
vetenskapsuppfattning, undersökningsmetod och tillvägagångssätt som skall användas för att utföra undersökningen. Jag kommer kort att beskriva vilka typer av ansatser som varit aktuella i min undersökning och motivera varför jag väljer att använda respektive metod.
2.1.1 Positivistisk och hermeneutisk vetenskapsuppfattning
De två vanligaste forskningssynsätten på hur kunskap skall produceras är positivismen och hermeneutiken. Positivism är uppfattningen att vetenskaperna bör använda sig av en
gemensam metodik, som utifrån iakttagelser leder till kunskap om universella orsakssamband.
Positivismen utvecklades ur empirismen och bygger på naturvetenskapliga ideal.
Den andra stora vetenskapsuppfattningen är hermeneutiken som också kallas för tolkningslära. Ursprungligen användes hermeneutiken främst för att tolka texter, men uppfattningen övergick senare till att gälla studier av mänskliga fenomen överhuvudtaget.
Idén bygger på att människan är intentionell och alltså har en avsikt med det hon gör.
Hermeneutiken söker efter rimliga skäl till den mänskliga handlingen.
Hermeneutiken betonar helheten i den meningen att den har en mening utöver enskildheterna.
Den grundläggande idén är att om något ändras i en enskild del påverkar det helheten som i sin tur kan påverka andra delar1. Den används för att tolka utsagor och handlingar.
Hermeneutiken används inom humanistiska och samhällsvetenskapliga ämnen.
Jag väljer att använda mig av den hermeneutiska vetenskapsuppfattningen, då min
undersökning till stor del består av att tolka delar av säkerhetsproblematiken för att belysa IT- säkerheten ur företagsledningens perspektiv.
2.1.2 Kvalitativa och kvantitativa metoder
Undersökningsmetoder delas in i två grupper; de kvantitativa och de kvalitativa metoderna.
Kvantitativa metoder är ofta positivistiska med naturvetenskapliga ideal. Det som skall studeras måste göras mätbart och resultatet skall presenteras numeriskt. Denna uppfattning av vetenskaplighet är inspirerad av den logiska positivismen med naturvetenskapligt
forskningsideal. Den kvantitativa metodens dilemma är att välja ut vilken/vilka kvaliteter som är relevanta att mäta, nästa problem är hur det skall mätas, valideras och slutligen presenteras.
”Den kvantitativa metoden söker en verklighet för att pröva ett givet begrepp på.” (Eneroth, 1984)
Kvalitativa metoder är svårare att definiera än de kvantitativa. Dessa metoder är ofta
fenomenologiska med ideal ur humanioran och bygger på att allt inte går att göras mätbart. En
1 Lind, ur föreläsningsanteckningar från VTM-kursen 1996
kvalitativ undersökningsmetod används för att nå en förståelse både av delar och helhet och att alla fenomen består av ett antal unika kvalitetskombinationer.
Kvalitativa metoder utgår från att varje undersökt företeelse är unik, till motsats från
kvantitativa metoder som utgår från att alla fenomen har exakt likadana kvaliteter och alltså är mätbara. Syftet med en kvalitativ metod är att beskriva en företeelses kvaliteter, alltså vilka egenskaper en företeelse har och vilka som karaktäriserar företeelsen.
Som framgår av kapitel ett är IT-säkerhet ett kvalitativt problemområde och kräver därmed en kvalitativ undersökningsmetod. Den kvantitativa metoden är utesluten eftersom det inte är möjligt att mäta de fenomen jag avser att undersöka i siffror.
2.1.3 Induktiv och deduktiv forskningsansats
Induktion används för att göra enskilda observationer som sedan skall leda till en slutsats av allmän giltighet. Detta tillvägagångssätt är det som oftast används i kvalitativa metoder.
Induktivt tillvägagångssätt innebär att forskaren närmar sig en verklighet förutsättningslöst, utan några klara hypoteser och med en ganska vag och oprecis problemställning.2 Detta medger en flexibel uppläggning av undersökningen. Induktion innebär att låta de funna kvaliteterna som hittas i studier av ett litet urval ingå i generella begrepp.
Deduktion utgår från premisser och kommer med hjälp av regler fram till en slutsats. Ansatsen är utgångspunkten ur vilken forskaren söker klargöra vad som sker under vissa förutsättningar.
Deduktion förknippas med kvantitativa metoder.
Jag kommer att studera hoten mot och skydden för företags IT-system, hur människorna i organisationen påverkar IT-säkerheten samt företagsledningens ansvar i säkerhetsprocessen.
Med dessa observationer avser jag att dra en generell slutsats som gäller flertalet svenska företag. Därmed väljer jag att till större delen använda mig av den induktiva
forskningsansatsen, men med vissa inslag av deduktion då jag även avser att klargöra vad som händer under vissa förutsättningar.
2.2 Metoder i undersökningsprocessen
Som det framgår av problemställning och syfte är uppsatsen inte inriktad på att lösa något kvantitativt problem utan på att göra en kvalitativ undersökning. Jag avser att göra en deskriptiv uppsats och har utifrån ovanstående valt ut passande metoder för
undersökningsprocessen.
2.2.1 Datainsamlingsmetoder
Undersökningsmetoder för datainsamling består av innebördsstruktur (för att få fram förståelsedata) och materiella aspekter (för att erhålla sinnesdata). Jag använder mig till huvudsak av sekundärdata i undersökningsprocessen.
2.2.2 Teoretiska perspektiv
När datamassan om företeelsen tagits fram måste en ”varseblivningsmetod”, eller ett teoretiskt perspektiv väljas, det vill säga bestämma vilken information som är relevant för perspektivet.
När jag bestämt mig för ett perspektiv kommer det att fungera som en ram för min förståelse
2 Grundén, ur föreläsningsanteckningar från VTM-kurs 1996
och mina sinnen. Ramen styr uppmärksamheten mot viss information och förbi annan information.
Det finns tre olika perspektiv som kan antas: det statiska, det dynamiska och det teleologiska perspektivet. Det statiska perspektivet innebär att ta fasta på det relativt bestående och stabila hos en företeelse. Företeelsen kan observeras oförändrat vid olika tillfällen. Det dynamiska perspektivet är ämnat för det instabila som forskaren försöker tydliggöra hos en företeelse och koncentrerar sig på förändringar. Exempel på förändringar kan vara hur en statisk aspekt förändras eller flöden genom det statiska. Det tredje perspektivet som Eneroth (1984) tar upp är det teleologiska perspektivet som är målrelaterat. Detta perspektiv grundar sig på att en företeelses statiska och dynamiska aspekter är bara intressanta utifrån hur de förhåller sig till vissa grundläggande mål. Perspektivet kallas också för ”ändamålsperspektivet”.
Jag använder det statiska perspektivet, trots att IT-säkerhet kan tyckas vara en dynamisk företeelse, eftersom ett företag ofta förändras långsamt och kan ses som en relativt stabil företeelse.
2.2.3 Datasammanfattningsmetoder
En datasammanfattningsmetod sammanfattar information till begrepp om den undersökta företeelsen, därför kallas metoden också för begreppsbildning. För att kunna lyfta upp den insamlade informationen från olika individer till en allmängiltig nivå måste den syntetiseras.
När informationen skall sammanfattas grupperas den under olika kvaliteter. Statiska aspekterna hos företeelsen kräver statiska begrepp som kan sammanfatta och framhäva det bestående, dynamiska aspekter kräver dynamiska begrepp och teleologiska aspekter kan använda båda aspekterna beroende på deras karaktär.
För de statiska aspekterna nämner Eneroth tre viktiga sammanfattningsmetoder som syftar till att beskriva tillstånd; grounded theory-, idealtyps- och väsentypsmetoden.
Grounded theory metoden, eller kartläggningsmetoden som den också kallas, syftar till en kartläggning av företeelsens kvaliteter. Datasammanfattningsmetoden utformades av Glaser och Strauss. När en forskare står inför en mängd tydliggjord data, försöker han/hon
systematiskt gruppera och omgruppera dem till en så fullständig kartläggning av företeelsen som möjligt utifrån dessa givna data. Begrepp delas in i kategorier, som har olika
dimensioner, som i sin tur har flera olika kvaliteter. Denna metod är avsedd för det statiska perspektivet.
Idealtypsmetoden, eller karikatyrmetoden, syftar till att forma en karikatyr av de olika sorters fall som exemplifierar företeelsen. Metoden avser att gruppera data till en slags konstruerande idealtyp av olika sorters ”exemplar” av företeelsen. Detta är den mest fantasirika och
förmodligen den mest använda metoden till vardags (t ex Svensson, lantis, fikus). Ingen har alla de egenskaper som ingår i en idealtyp, metoden söker fånga det centrala eller det ideala hos företeelsen.
I väsentypsmetoden försöker man finna det kännetecknande och det eventuellt gemensamma för alla fall av företeelsen ifråga. Metoden är anpassad till en företeelses statiska aspekter.
Metoden försöker fånga det kännetecknande, dvs de gemensamma kvaliteterna för alla fall av
företeelsen och fastställa de verkligt gemensamma kvaliteterna för en grupp fall samt belysa likheter och skillnader.
Av de dynamiska aspekternas sammanfattningsmetoder tas det upp två metoder;
processmetoden och den dialektiska metoden. Dessa båda metoder beskriver ett förlopp och var alltså inte aktuella för min del.
Eftersom jag redan valt en statiskt synvinkel på problemet kunde jag välja någon av de därför avsedda datasammanfattningsmetoderna. Jag väljer att använda mig av grounded theory metoden eftersom den passar bäst in på IT-säkerhetsproblemet.
2.2.4 Urvalsmetoder
Kvalitativa urvalsmetoder syftar till att göra ett urval som innehåller så många olika slags kvaliteter som möjligt för att informationen skall resultera i ett begrepp om företeelsen.
Innan en urvalsmetod kan väljas måste datasammanfattningsmetoden vara vald, kanske bör även datainsamlingsmetoden och det teoretiska perspektivet vara valda. Anledningen till det är att forskaren måste veta vad som skall hända med materialet innan det går att bestämma hur urvalet skall gå till.
Kvalitativa undersökningar kräver endast ett litet urval, främst för att det skall vara möjligt att överblicka datamängden. Urvalet måste därför väljas ut med omsorg för att ge maximalt antal kvaliteter.
2.3 Genomförande
Jag samlade kontinuerligt in information kring problemområdet under arbetets gång. Efter den formade strukturen sammanfattades informationen begreppsvis i enlighet med grounded theory. För att få en bättre förståelse för de fysiska säkerhetshjälpmedlen, som finns och krävs på marknaden, tog jag kontakt med ett försäkringsbolag. Med de rättsliga aspekterna fick jag god hjälp av advokat Woodstocks föredrag i Borås i slutet av oktober. Slutligen drogs slutsatser av det insamlade materialet.
3. Företagsledningens ansvar i IT-säkerhetsprocessen
3.1 Strategier och regelverk
Det yttersta ansvaret för IT-säkerheten innehas av företagets ledning och säkerhetsarbetet grundläggs i företagets informationssäkerhetspolicy. (Wedberg, artikel 2, 1997) I denna policy framgår företagets mål med säkerhetsarbetet, vilken inriktning företaget antagit, samt
ansvarsfördelningen med avseende på säkerheten. Då policyn omsätts i praktiken sätts utförliga ramar upp för vad som skall göras, hur det skall utföras och vem som skall utföra det. Policys och ramverk för säkerheten måste, för att fylla sin funktion, föras ut i hela organisationen.
3.1.1 Strategisk styrning av företag
Ett företag är uppbyggt kring en affärsidé. Denna idé kan utvecklas med tiden i och med att företaget förändras, men grundidén förblir ändå densamma. För att förverkliga idén ställer ledningen upp vissa mål och försöker styra utvecklingen i företaget mot dessa mål. Efterhand behövs någon form av kontroll för att kontrollera att utvecklingen sker på så sätt som det är tänkt och i annat fall sätta in korrigerande åtgärder.
Begreppet styrning kan användas som ett sammanfattande begrepp för samordning och kontroll, dvs alla de åtgärder som vidtages för att påverka beteendet i organisationen.
Chandler (1962) preciserade styrbegreppet till att innefatta den information och ordergivning som strömmar i de kommunikationskanaler som bildas i strukturen (ur Holmström, 1995).
Kanalerna kan vara av både formell och informell natur.
Styrningen genomförs med hjälp av en uppsättning styrinstrument. Den övergripande styrningen kallas för strategisk styrning. I den strategiska styrningen ingår organisationen av företaget, strategisk planering, företagets kontakter med omvärlden m.m. Den strategiska eller den mer långsiktiga styrningen bestämmer företagets inriktning i stort vad gäller
verksamhetsområden, marknader, IT-säkerhet osv. Detta sker oftast i form av diskussioner kring alternativa planer angående utvecklingen och olika yttre händelser. Ledningen
formulerar därför flera olika strategier i form av avsedda åtgärder vid olika tänkbara framtida scenarier. I vissa fall preciseras strategierna i kvantitativa planer för ett visst antal år framöver, ibland görs även en viss investeringsbedömning (Frenckner och Samuelson, 1989).
3.1.2 Beslutsprocessen
Ett företags ledning har till uppgift att fatta de strategiska IT-besluten för organisationen. Det är ledningens ansvar att välja styrmedel och att fatta nödvändiga beslut. För att kunna fatta riktiga beslut krävs ett ordentligt beslutsunderlag.
Beslutsprocessen är inte över i och med att beslutet fattats, detta illustreras i Bäck och Halvarssons beslutscirkel (se bild 3.1). Innan det formella beslutet antas görs en noggrann plan och beredning av beslutet. Efter genomförandet görs en utvärdering som delges planering och beredning. Planerings- och beredningsfunktionen korrigerar därefter beslutsunderlaget till nästa beslut i frågan.
Formella beslut
Planering Genomförande
och beredning av beslut
Återkoppling Utvärdering
Bild 3.1 Beslutscirkeln3
3.1.3 Delaktighet i besluten
Ett företag bör ha en ledningsgrupp som speglar företagets olika delar. Den som är
huvudansvarig för säkerheten bör därför sitta med i företagets ledning för att på så vis vara med och ge säkerhetsaspekten på de förändringar som planeras. (Caelli, Longley och Shain, 1989)
För att en enhetschef skall göra ett bra arbete bör hon/han känna ansvar för sin enhet.
Delaktighet i de beslut som fattas vad gäller den egna enheten såväl som hela organisationen är faktorer som ger ansvarskänsla hos enhetschefen. Delaktigheten i företagets utveckling och styrning skapar lojalitet, vilket i sin tur genererar bättre genomtänkta beslut. Det är viktigt att överlåta till varje enhetschef att prägla sin enhet för bästa resultat och att tänka på att var och en är expert på sitt område. (Bäck och Halvarsson, 1992)
För att information skall ge avsedd effekt bör den vara utformad så att den är lätt att förstå och överskåda. All berörd personal skall kunna ta till sig innehållet för att själva kunna göra riktiga bedömningar. Självklart är det viktigt att de tar del av materialet.
3.1.4 Ledarens personlighet
Macintosch (1985) hävdar att olika chefer har olika sätt att bearbeta information och fatta beslut. Chefen sätter sin egen personliga prägel på arbetssättet i organisationen såväl som beslutsfattandet. Macintosch menar att skillnaderna är så stora att informations- och redovisningssystem egentligen borde skräddarsys efter chefens personlighet.
Av ledares arbetsuppgifter är det informationshanteringen som tar mest tid i anspråk.
Mintzberg (1972) ansåg att en effektiv ledare skall fungera som nervcenter i en organisation.
Ledaren skall fungera som informationsspridare, talesman och strateg för företaget.
Organisationssociologin fokuserar på den sociala interaktionen och beslutsfattandet i organisationen med avseende på faktorer som osäkerhet, oberoende mellan organisationens komponenter, speciella och integrerade mekanismer, samt teknologi (Macintosch, 1985).
Strukturen av de nämnda faktorerna influerar organisationsstrukturen och dess beteendemönster.
3 idé från Bäck och Halvarsson, 1992
3.1.5 IT-säkerhetssystemet
Bra IT-säkerhet är alltså beroende av bra ledarskap, det finns inga teknikaliteter som kan uppväga bristen på gott ledarskap. Brister i IT-systemet är det som utnyttjas i första hand av personer som avser att skada det. IT-säkerhet kan enbart uppnås i system som är väldesignade och väl hanterade. (Caelli, Longley och Shain, 1989) Det är dock först när ledningen funnit att informationen är värd att skyddas och att informationsbehandlings/kommunikationssystemet är möjligt att skydda kan företagsledningen rikta sin uppmärksamhet mot att formulera en säkerhetspolicy och fördela ansvaret för IT-säkerheten. Ledningen utgår då ofta ifrån en riskanalys av de existerande systemen i företaget och finner procedurer för modifiering av de existerande systemen, samt design och implementering av nya system. Därefter förs den framarbetade säkerhetspolicyn ut i verksamheten och en beredskapsplan tas fram. Det gäller dock att inse att det inte räcker med att ha vidtagit åtgärderna en gång, då systemet hela tiden förändras.
3.1.6 IT-strategi och IT-policy
En konstruktivt formulerad IT-strategi med tillhörande IT-policy där säkerhetsarbetet är klart formulerat ger företaget en bra förutsättning för att skydda sin information. Caelli, Longley och Shain (1989) förespråkar en omfattande och detaljrik säkerhetspolicy som syftar till att täcka hela IT-säkerhetsområdet. En sådan policy innehåller:
• den organisatoriska strukturen och tillhörande ansvar i säkerhetsfrågor. En högre chef kan tilldelas den övergripande kontrollen och rapporteringen till högsta ledningen.
• risk management
• personal policy
• informationstillhörighetspolicy och informationshanteringsansvar
• access- och krypteringsreglering
• informationsflödeskontroll
• säkerhet av lagrad data
• övervakningsfunktioner och spårbarhet
• bedrägerikontroll
• regler för design och modifieringsprocedurer av IT-systemet
• standarder, fortlöpande utvärderingar och rapporteringsprocedurer
• beredskapsplan
Cardholm (1997) däremot anser att en sådan omfattande policy gör säkerhetsarbetet tungrott och ineffektivt, han förespråkar därför ett tunt häfte med regler för att de skall vara lätta att ta till sig för de anställda. Ett annat förslag är att sammanfatta minnesregler i maximalt 10 punkter som placeras där alla kan se dem. De vanligaste reglerna är:
• att inte använda enkla lösenord
• att aldrig lämna ut sitt lösenord
• att alltid göra en backup
• att använda aktiva virusskydd
• att överträdelse av reglerna kan straffas enligt lag 3.1.7 Säkerhetsmanualen
Ansvarig för datasäkerheten på arbetsplatsen använder sig av en mängd olika tekniker för att informera de anställda om säkerhetsproblem och dess lösningar i organisationen. De använder
sig av broschyrer, affischer, samtal samt säkerhetsmanualer i sin kamp för ett säkert IT- system. Manualen kan innehålla allt från några sidor till tjocka pärmar med vad som är tillåtet och inte, beroende på vilken filosofi säkerhetsansvarig är anhängare av. Vanligtvis finns det bifogat checklistor för de anställda att gå efter, telefonnummer till personer att ringa i nödsituationer och ibland även vad som kan hända om inte manualens säkerhetsföreskrifter följs. Följder av överträdelse av reglerna kan vara böter, åtal, avsked mm. I och med att
säkerhetsmanualerna växer i omfång, då användandet av datorer blir allt viktigare i det dagliga arbetet och nödvändigheten av att datorerna används och sköts på ett riktigt sätt, blir de lätt oöverskådliga och upplevda som ett hinder i arbetet.
Highland4 (1992) menar att de flesta organisationer har inkorrekta och förlegade manualer. I och med att tekniken utvecklas med en hög hastighet har företagen inte haft möjlighet att hålla sig med uppdaterade säkerhetsmanualer. VanMeter5 (1991) pekar i sin studie på att även när manualer är omfattande och korrekt hanterade utgör själva volymen av policys och procedurer ett hot mot effektiviteten. Oftast, menar han, är det få - om någon, som egentligen känner till att manualen existerar.
I en svensk undersökning, av Rabenius, Tsagalidis och Wester 1990, över användares
förståelse av säkerhetslösningar i organisationer visade på att det finns stora avvikelser mellan säkerhetsdirektiven i en organisation och användarens förmåga att förstå och koppla dem till det vardagliga arbetet.
3.1.8 Nackdelar med pappersbaserade säkerhetsmanualer
Kowalskis studie visade att den pappersbaserade säkerhetsmanualen inte fungerade av flera olika anledningar. Han fann att de oftast hade ett icke-pedagogiskt upplägg med antingen för mycket information eller också hade de inte tillräckligt med information. Om en manual skall fylla någon funktion alls måste personen som läser den förstå och vara kapabel att ta till sig den information som ges. Därför är det förkastligt att använda speciell terminologi och en linjär uppbyggnad av manualen.
Det skrivna ordet uppfattas som gällande även om det, i och med att systemet förändrats, hittas felaktigheter i manualen. Säkerhetsmanualer är ofta förlegade eftersom uppdateringar innebär att det måste tryckas nya, vilket också innebär en kostnad för företaget. Andra nackdelar med tryckta handlingar är att de ofta innehåller redundant information och att de inte ger någon möjlighet till feed-back.
3.1.9 Faran med alltför strikta regler
Vissa företag har mycket strikta policyregler och kräver att de anställda skriver på särskilda säkerhetskontrakt. Underskrifterna intygar att den anställde är införstådd med vad som gäller och vilka straff som föreligger vid en överträdelse. Denna metod används främst i USA, men också av amerikanska företag i Sverige. I Sverige finns ett självständigt tänkande och en viss misstro till auktoriteter, vilket gör att en sådan tvångsåtgärd kan få motsatt effekt. Westman (1997) hävdar att svensken i allmänhet inte har mycket respekt för regler och att det snarare uppfattas som kreativt att finna sin egen väg. Givetvis förväntas ”kreativiteten” ske inom lagens ramar.
4 ur Kowalski, 1994
5 ur Kowalski, 1994
3.1.10 Lagar och regler
Cardholm (1997) menar att en väl formulerad säkerhetshandbok ger företaget möjligheten att på laglig väg kunna hävda att information spridits mot företagets vilja. Den som lämnar ut information till obehöriga riskerar då åtal med påföljd upp till sex års fängelse och den som mottagit informationen riskerar upp till fyra års fängelse. I datalagen finns regler som ger företaget full frihet att bestämma vilka delar av datasystemet som skall vara öppet för interna och externa medarbetare samt kunder. Överträdelser kan medföra upp till två års fängelse.
Arbetsgivarna är ofta inte särskilt intresserade av att föra ett mål mot en av sina anställda till domstol, men genom att de har lagens stöd understryks vikten av fungerande säkerhetsrutiner, och säkerhetstänkandet inom företaget ökar.
Det finns flera svenska lagar som syftar till integritetsskydd, exempelvis brottsbalken, rättegångsbalken och sekretesslagen. Integritetsskydd i förhållande till datoranvändning återfinns främst i datalagen från 1973. Då var den lagen ett föredöme, men nu är den mycket föråldrad.
Enligt advokat Eric Woodstock (1997) kan det rent generellt sägas att den föråldrade
lagstiftningen ger få svar på frågorna kring IT-säkerhet. Inte heller i framtiden kan företagen räkna med att få bättre vägledning då de nya lagarna också kommer att vara av generell karaktär. Det bästa rådet Woodstock kunde ge var att tänka till innan något händer och bygga system med funktionella behörighetssystem, backup, rutiner och spårbarhet. Advokaten ansåg att det viktiga var att systemen gör det möjligt att presentera ett förlopp i domstol. Det är vidare möjligt att skriva avtal med de aktörer som företaget har elektronisk kommunikation med, där det beskrivs vad som gäller om något går galet.
3.1.11 Internationella skillnader i säkerhetsarbetet
Det finns skillnader länder emellan hur långt företaget kan dra sina riktlinjer i säkerhetsarbetet. Westman (1997) påvisar att det i Tyskland finns en stor respekt för
auktoriteter, vid tilltal används titlar och ”Ni” till de som står över i hierarkin inom företaget.
Detta medför att det finns en större acceptans för strikta säkerhetsregler. Amerikanerna har även de ett striktare förhållningssätt mellan arbetsgivare och arbetstagare än vad vi har i Sverige, därmed kan detaljerade säkerhetsrutiner som fungerar bra i USA ha liten eller ingen effekt i Sverige. I vissa andra länder finns det även annorlunda hot såsom terrorism, detta hot har Sverige till stor del varit förskonat ifrån. Olikheter som dessa bör tas med i beräkningarna då ett företag har internationella ägarintressen.
3.1.12 Kvalitet på säkerheten
Implementeringen av en effektiv säkerhetspolicy är i allra högsta grad en fråga för ledningen.
Bakom implementering av säkerhetspolicy bör det finnas en väl genomtänkt strategi. Den största delen av god IT-säkerhet inkluderar utvecklingen av organisatoriska kontroller och motivation hos personalen som utför kontrollerna. Detta arbete bör vara av hög kvalitet.
Begreppet kvalitet har varit populärt under många års tid och förknippas med positiva
egenskaper. (Vedin, 1993) Hög kvalitet anses som ett mycket gott betyg, oavsett vad det syftar till. Begreppet används ofta om produkter, men kan lika väl användas vid syftning på inre egenskaper i organisationen såsom IT-säkerhet. Kvalitetsbegreppet innebär olika för olika personer, men brukar användas då något skall tillfredsställa både uttalade och underförstådda behov.
Säkerhetstänkandet bör vara med från början i en planeringsprocess och utvärderas
kontinuerligt. Även kvaliteten på säkerheten bör revideras regelbundet. Systemet ackrediteras av en antingen intern eller extern person som går igenom systemet och granskar det. Denna revision används senare som ett underlag för ett driftsgodkännande av systemet (Wedberg, artikel 2, 1997).
ISO9001 är en av fem standards i ISO9000-serien som har funnits som ISO standard sedan 1987 (Sandholm, 1995). ISO står för International Organisation for Standardisation och är det internationella organet för standardiseringar. ISO är norm för kvalitetsarbete både i Sverige och utomlands. I Sverige liksom i många andra länder har den antagits som nationell standard.
ISO innehåller krav på en kvalitetspolicy och på kvalitetsuppföljningen. Kvalitetspolicyn visar riktlinjer för kvalitetsarbetet. Det finns olika skäl till att utföra ett kvalitetsarbete enligt
ISO9000, det kan vara på grund av egna behov, krav från kunder, för att hävda sig i konkurrensen, krav från myndigheter i vissa branscher mm. Det har blivit allt viktigare för leverantörer att visa att de har ett kvalitetssystem som uppfyller kraven i ISO9000. En
certifiering underlättar marknadsföringen och kan leda till att kunder gör beställningar utan att göra en leverantörsbedömning först.
Wedberg (1997) uttrycker kritik mot kvalitetsrevisorerna som certifierar företag i enlighet med ISO 9001-standarden. Han menar att denna vedertagna standard inte tar tillräcklig hänsyn till betydelsen av IT i företagen. ISO 9001 - standarden kräver mycket lite av IT-avdelningen, ett backup-system är mer eller mindre tillräckligt för att bli certifierad. Det förebyggande arbetet tas inte upp i standarden överhuvudtaget.
3.2 Ekonomiska aspekter på säkerheten
Det är uppenbart att systemet måste återställas efter ett intrång eller annat haveri på ett företags IT-system, samt att detta kostar att utföra. Wedberg (1997) menar att vid en kostnadsmässig översyn på säkerheten finner många företag att det inte är en hackerattack som de skulle förlora mest pengar på, utan ett IT-avbrott. Det är lätt att förbise att ett avbrott i datasystemet även medför konsekvenser för den övriga verksamheten såsom att
tillgängligheten störs, att de anställda inte kan utföra sina arbetsuppgifter mm. Det är de sistnämnda konsekvenserna som måste analyseras för att få en rättvisande bild av vad ett avbrott skulle innebära. Olika företag kan ha olika tidpunkter på året då de är särskilt sårbara för ett IT-haveri, t ex då bokslutet skall sammanställas.
IT-brottsligheten ökar och därmed även ”reparationskostnaderna”. Det finns ett stort mörkertal kring denna typ av brott med anledningar som tidigare nämnts. Det görs dock vissa
beräkningar på området. Under 1996 uppgick kostnader som kan härledas till databrott och effekter av databrott i USA till en summa på fem miljarder dollar (Ottoson, 1997).
I Sverige genomfördes under mars 1996 en telefonundersökning av Rinfo Research på uppdrag av Cap Programator (Nilsson, 1996). Resultatet av undersökningen visade att personal på företagen i genomsnitt spenderade 2 timmar och 2 minuter varje vecka på att hantera problem med sina datorer. Under den tiden kostar den anställde företaget i såväl lön som utebliven produktivitet. För ett företag med 1000 användare medför detta en kostnad på 23 miljoner kronor per år, motsvarande ca 60 heltidstjänster. Problem med datorer kostar
totalt svenska företag 35 miljarder kronor per år. Detta kan jämföras med att företagens totala IT-investeringar under 1996 uppgick till 80 miljarder kr.
3.2.1 Bristande rutiner
Wedberg (1997) uppger att hälften av alla incidenter beror på bristande rutiner. Enligt Stefan Lithén, som är säkerhetschef på ABB Infosystems, finns det många företag som inte
uppdaterar sina backup-rutiner. Många företag har inte heller någon översikt över de
ekonomiska konsekvenserna som en störning i systemet skulle medföra. Det måste finnas en viss ordning och reda i rutinerna, annars kostar det menar han - förr eller senare.
3.2.2 Kostnader för IT
Företagets kostnader för IT består av direkta och indirekta kostnader. Problemet är att de indirekta kostnaderna sällan kommer med i några kalkyler för IT-investeringar, vilka då i sin tur inte blir rättvisande.
IT-investeringar delas vanligtvis in i tre huvudgrupper av kostnader. Den första är den rena kapitalkostnaden som uppstår vid inköp av dator, mjukvara och kringutrustning. Den andra är supportkostnaden som vanligtvis mest består av telefonsupport. Den tredje kostnadsgruppen är den administrativa för t ex utredningar och uppföljningar. Förutom dessa kostnader
tillkommer de indirekta kostnaderna som mestadels består av användarkostnader. Exempel på de indirekta kostnaderna är timmar spenderade vid datorn, introduktion, utbildningar, att ringa support, att läsa manualer och att hjälpa kollegor. De indirekta kostnaderna utgör över hälften av datorinvesteringarnas totala kostnad, enligt en Garther Groups undersökning (Nilsson, 1996).
Att skydda sina informationstillgångar kostar pengar, men med bakgrund av ovanstående bör säkerheten tillåtas att kosta, ta tid och plats i organisationen. Givetvis i rimlig relation till det som säkerhetsåtgärderna skall skydda. Kostnaderna för säkerhetsinsatserna bör inte överstiga värdet på informationen som säkerhetsinsatserna skall skydda. Det gäller att finna en balans mellan värde och kostnad.
Det finns, menar Caelli, Longley och Shain (1989), vanligtvis ett motstånd i organisationen mot kostnader som inte ger något påtagligt tillbaka. Kostnader kring förebyggande åtgärder såsom säkerhet är exempel på sådana kostnader. Men det finns troligen inte någon som är så säkerhetsmotiverad som den som just drabbats av förlust av information. Cardholm (1997) påtalar att det kan bli en mycket kostsam metod att vänta med säkerhetsrutinerna till en incident, t ex ett IT-avbrott, redan inträffat.
I IT-kommissionens rapport 6/97 fastställs det att om inte säkerheten är beaktad då ett företag bygger upp sitt IT-system, medför det att säkerheten kostar ännu mer pengar då den måste implementeras i efterhand.
3.2.3 Relationen till kunden
Kundens förtroende för företaget, företagets image och den personliga relationen mellan säljaren och kunden kan vara ett avgörande konkurrensmedel.
Det är väsentligt att tala samma språk inom en organisation. Om någon i en organisation skulle bete sig drastiskt annorlunda eller ”sämre” än den/de som skapat förtroendet är risken stor att kunden vänder sig till en annan organisation. Tjänster och relationer bör fungera väl
mellan enskilda individer, dvs alla i organisationen måste tala samma språk och bete sig konsekvent utåt. ”Det måste finnas en i många avseenden ensartad och konsekvent företagskultur.” (Vedin, 1993)
Samhället befinner sig i en ständig förändringsprocess. Olika branscher förändras olika fort, teknologiskt beroende företag förändras t ex ofta mycket snabbare än andra. Kunder ställer högre krav och förväntar sig snabba besked och leveranser. I denna miljö, menar Vedin (1993), att det är viktigt att företagen har en god anpassningsförmåga och en hög grad av flexibilitet, för att stå sig i konkurrensen.
3.2.4 Risk- och sårbarhetsanalys
Det kan vara svårt för en säkerhetsansvarig att komma till ledningen för företaget och begära en större summa pengar till säkerhetsinvesteringar för att inget skall hända. I ett sådant läge kan det vara bra att kunna redovisa hur mycket ett dataavbrott, alternativt ett intrång, skulle kosta företaget. Eftersom IT-säkerheten berör hela verksamheten är det viktigt att bedöma vad som händer om ett avbrott skulle inträffa. Wedberg (1997) hävdar att genom att göra en risk- och sårbarhetsanalys kan företaget lättare se konsekvenserna av en driftsstörning.
3.2.5 Bedömning av riskerna
För att kunna beräkna kostnaderna av ett dataintrång eller ett diskhaveri måste riskerna utredas. Utredningen går ut på att bedöma konsekvenserna för varje händelse och vilka kostnader det för med sig. För att upptäcka brister i rutinerna kan checklistor och liknande användas. Det viktigaste är att det är ordning och reda i systemet. Det mest effektiva sättet, att bedöma risken för förlust av data och kostnaden för att skydda den, är att göra en
sårbarhetsanalys. Cardholm (1997) menar att enbart genom att genomföra en sårbarhetsanalys och diskutera säkerheten på arbetsplatsen ökas informationsskyddet i företaget på ett effektivt sätt.
Det första som bör göras är att tänka efter vad det är som behöver skyddas, vad någon kan tänkas vilja komma åt eller förstöra, vad som kan gå sönder eller försvinna och vilken
betydelse detta skulle få för företagets driftsäkerhet. När detta är gjort har företaget en ganska klar hotbild. Hotbilden bör även innehålla de eventuella hot som uppkommer via informella vägar i företaget (Westman, 1997). För att få en så total bild som möjligt bör representanter från flera olika personalgrupper finnas med i arbetet.
Riskanalys är numera ett vanligt mätinstrument i organisationer. En riskanalys över säkerheten innebär att företaget söker svaren på frågor som:
• Hur stor risk föreligger?
• Hur osäker är miljön/omgivningen?
• Hur mycket är rimligt att betala för säkerheten?
• Vilken säkerhetsgrad kan uppnås för en given summa?
• När blir det kostnadsineffektivt att spendera mer på säkerheten?
• Hur trovärdiga är de valda säkerhetsmåtten?
• Var bör säkerhetsinsatserna sättas in?
3.2.6 Modeller som hjälpmedel i säkerhetsarbetet
Det är viktigt att förankra säkerhetspolicys och att på ett acceptabelt och realistiskt sätt väga åtgärderna mot kostnaderna. Modeller kan användas som ett hjälpmedel i säkerhetsarbetet.
Den första säkerhetsmodellen - SBC (Security by Consensus) modellen presenterades 1990 på IEEEs6 Computer Society Symposium on Security and Privacy (Kowalski, 1994). Modellen kallades då för ”the Information System Secure Interconnection Model” eller ISSI modellen och lades fram som ett ramverk för utvecklingen av säkra protokoll mellan olika
informationssystem. Modellen utvecklades sedan till att även innefatta ramverk för jämförelser mellan nationella datorsäkerhetspolicies.
SBC modellen är en utveckling av den svenska sårbarhetsanalysen. SBC modellen delar upp sociala och tekniska system och därmed även säkerhetsaspekterna i sociala och tekniska kategorier. Dessa två huvudkategorier delas i sin tur upp i sex underklasser, som i sin tur delas upp i två säkerhetsgrupper, en daglig och en akut.
Sårbarhetskommittén upprättade 1983 ”Säkerhet genom analys metoden”. De flesta analys- verktygen är designade för riskanalys på mikronivå, dvs de används av individuella system användare för att analysera deras specifika systems risker och hotbilder. Det finns enligt Kowalski (1994) inga modeller som analyserar risker och hot från ett makroperspektiv.
Dataföreningen i Sverige marknadsför fortfarande SBA-modellen, som skapar scenarier för vad som kan hända och vad detta skulle kosta (Cardholm, 1997). Modellen uppskattar dessutom risken för hur ofta det kan inträffa och bedömer risken mot vad motåtgärden skulle kosta att installera och underhålla.
I arbetet med modeller kan det vara av vikt att minnas att abstrakta modeller som har syftet att förenkla en komplex verklighet kan dock i själva verket samtidigt kan inge en falsk trygghet.
3.2.7 Brister i säkerheten
Ofta beror säkerhetsluckor på distribuerade system. Problem uppstår då ansvaret har fördelats ut i företaget, utan att det vid varje ny fördelning tagits hänsyn till säkerhetsaspekterna. Ett annat säkerhetsproblem i företag är att det inte finns några rutiner för att ta bort behörigheten för medarbetare som slutar sin anställning. Eftersom företagsmiljön hela tiden förändras är det av yttersta vikt att säkerhetsrutinerna kontinuerligt omprövas. Därför bör även riskanalysen vara en fortgående aktivitet eftersom förutsättningarna ständigt förändras. Caelli, Longley och Shain (1989) skriver att riskanalysen ingår som ett första steg i risk management som främst
6 the Institute of Electrical and Electronics Engineers, Inc.
